هک Balancer و سرقت بیش از ۱۱۶ میلیون دلار: ضربه‌ای سنگین به صنعت دیفای

عنوان اصلی مقاله: "دیفای باسابقه به خطر افتاد: آسیب‌پذیری قرارداد Balancer V2، سرقت بیش از ۱۱۰ میلیون دلار دارایی"

نویسنده مقاله: Wenser, Odaily Planet Daily

یادداشت سردبیر: امروز، پروتکل دیفای Balancer قربانی یک هک شد و وجوه سرقت شده اکنون از ۱۱۶ میلیون دلار فراتر رفته است. چندین پروژه اقدامات اصلاحی انجام داده‌اند: Lido موقعیت‌های Balancer خود را که تحت تأثیر قرار نگرفته بودند خارج کرده است، در حالی که Berachain توقف شبکه را برای انجام یک هارد فورک اضطراری جهت رفع آسیب‌پذیری مرتبط با Balancer V2 در BEX اعلام کرده است.

علاوه بر این، Hasu، مدیر استراتژیک Flashbots و مشاور استراتژیک Lido، در پستی اظهار داشت که "Balancer v2 در سال ۲۰۲۱ راه‌اندازی شد و از آن زمان به یکی از دقیق‌ترین و پرفورک‌ترین قراردادهای هوشمند تبدیل شده است. این بسیار نگران‌کننده است. هر بار که قراردادی که مدت‌ها فعال بوده هک می‌شود، پذیرش دیفای را ۶ تا ۱۲ ماه به عقب می‌اندازد." در ادامه محتوای اصلی آمده است:

در ۳ نوامبر، گزارش شد که بیش از ۷۰ میلیون دلار دارایی از پروتکل دیفای باسابقه Balancer به سرقت رفته است. متعاقباً، این خبر توسط چندین طرف تأیید شد و حجم وجوه سرقت شده همچنان رو به افزایش بود. در زمان نگارش این مقاله، میزان دارایی‌های سرقت شده از Balancer به بیش از ۱۱۶ میلیون دلار افزایش یافته است. Odaily Planet Daily در این مقاله به تحلیل اجمالی این حادثه می‌پردازد.

جزئیات هک Balancer: خسارت بیش از ۱۱۶ میلیون دلار، عمدتاً به دلیل نقص در قرارداد هوشمند استخر v2

طبق اطلاعات آن‌چین، مهاجم Balancer اکنون بیش از ۱۱۶ میلیون دلار دارایی به سرقت برده است که دارایی‌های اصلی سرقت شده شامل WETH، wstETH، osETH، frxETH، rsETH، rETH است که در چندین زنجیره مانند ETH، Base، Sonic و غیره پخش شده‌اند، که در آن:

· دارایی‌های سرقت شده در زنجیره Ethereum: حدود ۱۰۰ میلیون دلار؛

· دارایی‌های سرقت شده در زنجیره Arbitrum: نزدیک به ۸ میلیون دلار؛

· دارایی‌های سرقت شده در زنجیره Base: نزدیک به ۳.۹۵ میلیون دلار؛

· دارایی‌های سرقت شده در زنجیره Sonic: بیش از ۳.۴ میلیون دلار؛

· دارایی‌های سرقت شده در زنجیره Optimism: نزدیک به ۱.۵۷ میلیون دلار؛

· سرقت دارایی در زنجیره Polygon: حدود ۲۳۰,۰۰۰ دلار.

Adi، یکی از فعالان حوزه کریپتو، پست کرد که بررسی‌های اولیه نشان می‌دهد که این حمله عمدتاً ولت V2 و استخر نقدینگی Balancer را هدف قرار داده و از آسیب‌پذیری در تعاملات قرارداد هوشمند سوءاستفاده کرده است. بازرسان آن‌چین اشاره کردند که یک قرارداد مخرب مستقر شده، فراخوانی Vault را در حین مقداردهی اولیه استخر دستکاری کرده است. مجوزدهی نامناسب و مدیریت callback به مهاجم اجازه داد تا اقدامات حفاظتی را دور بزند، که امکان سواپ‌های غیرمجاز بین استخرهای نقدینگی متصل یا دستکاری موجودی را فراهم کرد و منجر به سرقت سریع دارایی در عرض چند دقیقه شد.

بر اساس اطلاعات موجود، هیچ مدرکی مبنی بر افشای کلید خصوصی وجود ندارد؛ این صرفاً یک آسیب‌پذیری قرارداد هوشمند است.

حسابرسی kebabsec و توسعه‌دهنده citrea، @okkothejawa نیز اشاره کردند: "خطای بررسی ذکر شده توسط @moo9000 ممکن است علت اصلی نباشد، زیرا در تمام فراخوانی‌های 'manageUserBalance' مقدار ops.sender == msg.sender است. آسیب‌پذیری امنیتی ممکن است در تراکنشی قبل از ایجاد قراردادی که دارایی‌ها را استخراج می‌کند رخ داده باشد، زیرا منجر به تغییراتی در وضعیت ولت Balancer شده است."

پاسخ رسمی Balancer بیان کرد: "تیم ما از یک آسیب‌پذیری احتمالی که استخرهای Balancer v2 را تحت تأثیر قرار می‌دهد آگاه است. تیم‌های مهندسی و امنیتی ما فعالانه در حال انجام تحقیقات با اولویت بالا هستند. هنگامی که اطلاعات بیشتری داشته باشیم، بلافاصله به‌روزرسانی‌های تأیید شده و مراحل بعدی را به اشتراک خواهیم گذاشت."

Berachain که با خطرات احتمالی از دست دادن دارایی مواجه است، نیز به سرعت پاسخ داد. پس از پست بنیاد Berachain، بنیان‌گذار Berachain، Smokey The Bera اظهار داشت: "گروه نود Bera به‌طور پیشگیرانه عملیات زنجیره عمومی را متوقف کرده است تا از تأثیر آسیب‌پذیری Balancer بر BEX (عمدتاً USDe three-pool) جلوگیری کند.

· دستور به تیم Ethena برای غیرفعال کردن پل Bera

· غیرفعال کردن/تعلیق سپرده‌های USDe در بازار وام‌دهی

· تعلیق مینت و مبادله توکن HONEY

· ارتباط با صرافی‌ها و اطمینان از قرار گرفتن آدرس‌های هکر در لیست سیاه

هدف ما بازیابی وجوه در سریع‌ترین زمان ممکن و اطمینان از ایمنی تمام LPها است. تیم Berachain به محض آماده شدن، باینری‌ها را برای نودهای اعتبارسنج و ارائه‌دهندگان خدمات مربوطه منتشر خواهد کرد (از آنجا که این استخر حاوی دارایی‌های غیربومی است، شامل مقداری پیکربندی مجدد اسلات می‌شود، نه فقط اصلاح موجودی توکن Bera)."

اطلاعات آن‌چین مهاجم Balancer: https://intel.arkm.com/explorer/entity/cd756cb8-6a84-4f40-9361-f6c548544430

هک Balancer: نهنگ‌های ارز دیجیتال بیشترین نگرانی را دارند

به عنوان یک پروتکل دیفای شناخته شده، کاربران Balancer بدون شک مستقیم‌ترین آسیب‌دیدگان این هک هستند. برای کاربران فعلی، اقداماتی که می‌توان انجام داد عبارتند از:

· خروج وجوه از استخرهای Balancer v2 برای جلوگیری از ضررهای بیشتر؛

· لغو مجوز: استفاده از Revoke، DeBank یا Etherscan برای لغو مجوزهای قرارداد هوشمند از آدرس Balancer جهت جلوگیری از خطرات امنیتی احتمالی؛

· هوشیار ماندن: نظارت دقیق بر حرکات بعدی مهاجم Balancer و اینکه آیا تأثیرات آبشاری بر سایر پروتکل‌های دیفای خواهد داشت یا خیر.

علاوه بر این، یک نهنگ ارز دیجیتال خفته که به مدت ۳ سال غیرفعال بوده، در این هک توجه‌ها را به خود جلب کرده است.

طبق نظارت LookonChain، یک نهنگ کریپتو که ۳ سال غیرفعال بود با آدرس 0x009023dA14A3C9f448B75f33cEb9291c21373bD8 پس از وقوع آسیب‌پذیری پلتفرم Balancer ناگهان بیدار شده است. این نهنگ مشتاق است دارایی‌های مرتبط ۶.۵ میلیون دلاری خود را از Balancer خارج کند. اطلاعات آن‌چین: https://intel.arkm.com/explorer/address/0x009023dA14A3C9f448B75f33cEb9291c21373bD8

آخرین تحولات: هکر الگوی مبادله توکن را آغاز کرد

طبق نظارت تحلیلگر آن‌چین Yu Jin، هکر هک Balancer شروع به تلاش برای مبادله بسیاری از توکن‌های استیکینگ نقدینگی (LST) با ETH کرده است. پیش از این، هکر ۱۰ osETH را با ۱۰.۵۵ ETH مبادله کرد.

داده‌های آن‌چین نشان می‌دهد که هکر به‌طور مداوم دارایی‌های سرقت شده را در چندین زنجیره با استفاده از Cow Protocol با ETH، USDC و سایر دارایی‌ها مبادله می‌کند. در حال حاضر، امید به بازیابی این دارایی‌های سرقت شده اندک به نظر می‌رسد.

در آینده، اینکه آیا Balancer می‌تواند به سرعت آسیب‌پذیری قرارداد پروتکل را شناسایی کرده و دارایی‌های سرقت شده را به‌سرعت بازیابی کند، یا راه‌حل مربوطه را ارائه دهد، Odaily به پیگیری ادامه خواهد داد.

لینک مقاله اصلی